Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel ingestuje data z mnoha zdrojů. Práce s různými datovými typy a tabulkami vyžaduje, abyste každou z nich pochopili a mohli psát a používat jedinečné sady dat pro analytická pravidla, sešity a dotazy proaktivního vyhledávání pro každý typ nebo schéma.
Někdy budete potřebovat samostatná pravidla, sešity a dotazy, i když datové typy sdílejí společné prvky, jako jsou zařízení brány firewall. Korelace mezi různými typy dat během vyšetřování a proaktivním vyhledáváním může být také náročná.
Advanced Security Information Model (ASIM) je vrstva, která se nachází mezi těmito různorodými zdroji a uživatelem. ASIM se řídí principem robustnosti: "Buďte striktní v tom, co odesíláte, buďte flexibilní v tom, co přijímáte". Pomocí principu robustnosti jako vzoru návrhu asim transformuje proprietární zdrojovou telemetrii shromážděnou službou Microsoft Sentinel na uživatelsky přívětivá data pro usnadnění výměny a integrace.
Tento článek obsahuje přehled modelu ASIM (Advanced Security Information Model), jeho případů použití a hlavních komponent.
Návod
Podívejte se také na webinář ASIM nebo si prohlédněte snímky webináře.
Běžné využití ASIM
ASIM poskytuje bezproblémové prostředí pro zpracování různých zdrojů v jednotných normalizovaných zobrazeních tím, že poskytuje následující funkce:
Detekce křížového zdroje Normalizovaná analytická pravidla fungují napříč zdroji, místním prostředím a cloudem a detekují útoky, jako je hrubá síla nebo nemožné cestování mezi systémy, včetně Okta, AWS a Azure.
Zdrojový obsah nezávislý na zdroji Pokrytí integrovaného i vlastního obsahu pomocí ASIM se automaticky rozšíří na jakýkoli zdroj, který podporuje ASIM, i když byl zdroj přidán po vytvoření obsahu. Zpracování analýzy událostí například podporuje jakýkoli zdroj, který může zákazník použít k přenesení dat, jako je Microsoft Defender for Endpoint, Události Systému Windows a Sysmon.
Podpora vlastních zdrojů v integrovaných analytických funkcích
Snadné použití. Jakmile analytik zjistí ASIM, psaní dotazů je mnohem jednodušší, protože názvy polí jsou vždy stejné.
Metadata událostí zabezpečení ASIM a open source
ASIM je v souladu s běžným informačním modelem OSSEM (Open Source Security Events Metadata) a umožňuje předvídatelné entity korelace mezi normalizovanými tabulkami.
OSSEM je komunitní projekt, který se zaměřuje především na dokumentaci a standardizaci protokolů událostí zabezpečení z různých zdrojů dat a operačních systémů. Projekt také poskytuje model CIM (Common Information Model), který lze použít pro datové inženýry během postupů normalizace dat, aby analytici zabezpečení mohli dotazovat a analyzovat data napříč různými zdroji dat.
Další informace najdete v referenční dokumentaci k OSSEM.
Komponenty ASIM
Následující obrázek ukazuje, jak se nenormalizované data dají přeložit do normalizovaného obsahu a používat je v Microsoft Sentinelu. Můžete například začít s vlastní tabulkou specifickou, nenormalizovanou tabulkou a pomocí analyzátoru a schématu normalizace převést tuto tabulku na normalizovaná data. Normalizovaná data můžete používat jak v Microsoftu, tak ve vlastních analytických možnostech, pravidlech, sešitech, dotazech a dalších možnostech.
ASIM zahrnuje následující komponenty:
Normalizovaná schémata
Normalizovaná schémata pokrývají standardní sady předvídatelných typů událostí, které můžete použít při vytváření jednotných funkcí. Každé schéma definuje pole, která představují událost, normalizované zásady vytváření názvů sloupců a standardní formát hodnot polí.
ASIM v současné době definuje následující schémata:
- Událost upozornění
- Událost auditu
- Událost ověřování
- Aktivita DHCP
- Aktivita DNS
- Aktivita souboru
- Síťová relace
- Událost procesu
- Událost registru
- Správa uživatelů
- Webová relace
Další informace najdete v tématu Schémata ASIM.
Analyzátory času dotazů
ASIM využívá analyzátory času dotazů k mapování existujících dat na normalizovaná schémata pomocí funkcí KQL. Řada předem připravených analyzátorů ASIM je k dispozici jako součást produktu Microsoft Sentinel. Další analyzátory a verze předdefinovaných analyzátorů, které je možné upravit, je možné nasadit z úložiště GitHub pro Microsoft Sentinel.
Další informace najdete v tématu Analyzátory ASIM.
Normalizace doby ingestování
Analyzátory času dotazů mají mnoho výhod:
- Nevyžadují úpravu dat, a proto zachovávají zdrojový formát.
- Vzhledem k tomu, že data neupravují, ale spíše představují zobrazení dat, jsou snadno vyvíjeny. Vývoj, testování a oprava analyzátoru je možné provádět u existujících dat. Analyzátory je navíc možné opravit, když se zjistí problém, a oprava se použije pro existující data.
Zatímco analyzátory ASIM jsou optimalizované, analýza času dotazu může zpomalovat dotazy, zejména u velkých datových sad. K vyřešení tohoto problému Microsoft Sentinel doplňuje analýzu času dotazů pomocí analýzy ingestujícího času. Při použití transformace ingestace se události normalizují na normalizovanou tabulku a urychlují dotazy, které používají normalizovaná data.
V současné době ASIM podporuje následující nativní normalizované tabulky jako cíl pro normalizaci ingestování času:
- ASimAuditEventLogs pro schéma události auditu.
- ASimAuthenticationEventLogs pro schéma ověřování .
- ASimDhcpEventLogs pro schéma událostí DHCP .
- ASimDnsActivityLogs pro schéma DNS .
- ASimFileEventLogs pro schéma událostí souboru .
- ASimNetworkSessionLogs pro schéma síťové relace .
- ASimProcessEventLogs pro schéma událostí procesu .
- ASimRegistryEventLogs pro schéma událostí registru .
- ASimUserManagementActivityLogs pro schéma správy uživatelů .
- ASimWebSessionLogs pro schéma webové relace .
Další informace naleznete v tématu Ingestování normalizace času.
Obsah pro každé normalizované schéma
Obsah, který používá ASIM, zahrnuje řešení, analytická pravidla, sešity, dotazy proaktivního vyhledávání a další. Obsah pro každé normalizované schéma funguje na všech normalizovaných datech bez nutnosti vytvářet zdrojový obsah.
Další informace najdete v tématu Obsah ASIM.
Začínáme s ASIM
Jak začít používat ASIM:
Nasaďte řešení domény založené na ASIM, jako je řešení domény Network Threat Protection Essentials .
Aktivujte šablony analytických pravidel, které používají ASIM. Další informace najdete v seznamu obsahu ASIM.
Při dotazování protokolů v KQL na stránce Protokoly Microsoft Sentinelu použijte dotazy ASIM z úložiště GitHub Proaktivní vyhledávání v Microsoft Sentinelu. Další informace najdete v seznamu obsahu ASIM.
Vytvořte si vlastní analytická pravidla pomocí ASIM nebo si převeďte stávající pravidla.
Umožněte vlastním datům využívat předdefinované analýzy tím, že pro vlastní zdroje napíšete analyzátory a přidáte je do příslušného analyzátoru nezávislého na zdrojích.
Související obsah
Tento článek obsahuje přehled normalizace v Microsoft Sentinelu a ASIM.
Další informace naleznete v tématu:
- Podívejte se na webinář ASIM nebo si prohlédněte snímky.
- Schémata advanced Security Information Model (ASIM)
- Analyzátory advanced security information model (ASIM)
- Obsah rozšířeného modelu informací o zabezpečení (ASIM)